TANÚSÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft. a 9/2005. (VII.21.) IHM rendelet alapján, mint a Magyar Köztársaság Miniszterelnöki Hivatalt Vezető Miniszterének 001/2010 számú Kijelölési okiratával kijelölt tanúsító szervezet
tanúsítja, hogy az
InfoScope Kft. által kifejlesztett
Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.6 megnevezésű termék az 1.számú mellékletben áttekintett funkcionalitással, valamint a 2. számú melléklet biztonságos felhasználásra vonatkozó feltételeinek figyelembe vételével
megfelel a 2001. évi XXXV. törvényben szereplő elektronikus aláírás termékek fejlesztéséhez. Jelen tanúsítvány a HUNG-TJ-051-2010. számú tanúsítási jelentés alapján került kiadásra. Készült az InfoScope Kft. megbízásából. A tanúsítvány regisztrációs száma: HUNG-T-051-2010. A tanúsítás kelte: 2010. augusztus 27. A tanúsítvány érvényességi ideje: 2013. augusztus 27. Melléklet: tulajdonságok, feltételek, követelmények, egyéb jellemzők, összesen 5 oldalon. PH. Endrődi Zsolt Tanúsítási igazgató
dr. Szabó István Ügyvezető igazgató
1. számú melléklet
HUNG-T-051-2010
Az InfoSigno AC SDK v1.0.0.6 legfontosabb tulajdonságainak összefoglalása Az InfoSigno AC SDK egy olyan szoftverfejlesztő könyvtár, mely felhasználásával attribútum tanúsítványok érvényessége ellenőrizhető. Az InfoSigno AC SDK szolgáltatásai közé az alábbi funkciók tartoznak: • Szabványos attribútum tanúsítvány beolvasása; • Attribútum tanúsítvány érvényesség ellenőrzése, és ebből következően az alábbi alfunkciók: o A kapcsolódó nyilvános kulcs tanúsítványok feldolgozása, tanúsítási útvonalak érvényesség ellenőrzése, CRL és OCSP feldolgozás; o A tanúsítványokon lévő aláírások ellenőrzése (a tanúsítási útvonal nyilvános kulcs tanúsítványain és az attribútum tanúsítványon lévő digitális aláírás ellenőrzése); o Tanúsítvány visszavonási lista feldolgozása (ACRL) az attribútum tanúsítványokra; • Attribútum tanúsítvány elemeinek .NET objektumokra történő leképzése; • Az attribútum tanúsítványban található összes mező elérhetővé tétele.
Az InfoSigno AC SDK az attribútum tanúsítványok feldolgozása során az alábbi szabványokat, ajánlásokat veszi figyelembe: • RFC 3281: An Internet Attribute Certificate Profile for Authorization • RFC 4476: Attribute Certificate (AC) Policies Extension • ITU-T X.509-2000 Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks • RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Az InfoSigno ACTest egy az InfoSigno AC SDK függvényeire épülő web alapú alkalmazás. Segítségével az InfoSigno AC SDK összes funkciója kipróbálható, ellenőrizhető, tesztelhető.
-2-
HUNG-T-051-2010
2. számú melléklet A biztonságos felhasználás feltételei Az InfoSigno AC SDK v1.0.0.6 informatikai környezetére vonatkozó (a biztonsági előirányzatban is szereplő) biztonsági célok 1. A hoszt platform operációs rendszerének az általa futtatott alkalmazások számára elkülönített futási környezetet kell biztosítania. Fentieken túl az alábbi intézkedések teljesülését kell garantálni: a hoszt védett a vírustámadásokkal szemben; a hoszt platform és nyílt hálózati kapcsolattal rendelkező egyéb IT elemek közötti kommunikáció tűzfallal védett; a hoszt platform adminisztrátori funkcióihoz való hozzáférés a platform adminisztrátorokra korlátozott ("hoszt adminisztátor"). A felhasználói fiók különbözik a hoszt adminisztrátoritól a hoszt platform szoftverének telepítése és frissítése a hoszt adminisztrátor ellenőrzése alatt áll; a hoszt platform operációs rendszere nem engedi nem megbízható alkalmazások végrehajtását. Alkalmazási megjegyzések: - a hoszt adminisztrátor szerepe eltér a TOE biztonsági adminisztrátor szerepétől. (OE.Host_Platform) 2. A TOE környezetének biztosítania kell az aláírások és az attribútum tanúsítvány ellenőrzéséhez szükséges érvényesítő adatokat. (OE.Validation_Data_Provision) 3. A TOE környezetének a biztonsági adminisztrátorok számára biztosítania kell olyan eszközöket, melyekkel a TOE szolgáltatásainak és paramétereinek sértetlensége kontrollálható. (OE.Services_Integrity) 4. A TOE biztonsági adminisztrátorainak megbízhatónak kell lenniük, a TOE használatára ki kell őket képezni, és rendelkezésükre állnak azok az eszközök, amelyekkel a feladataikat megfelelően el tudják látni. (OE.Trusted_Security_Administrator) 5. A TOE környezete biztosítja a teszteléshez (ACTest) szükséges IT környezetet a tesztekben részt vevő felhasználói adatok tárolásához. (OE.AC_CheckFrame) A biztonságos felhasználás egyéb feltétele 6. Az InfoSigno AC SDK működtetési környezetében technikai és eljárásrendi intézkedéseket kell tenni annak biztosítására, hogy az InfoSigno AC SDK programozói könyvtárat, valamint az aláírás-létrehozás, aláírás-ellenőrzés folyamatokkal kölcsönhatásba lépő valamennyi összetevőt egy biztonságos területen valósítsák meg.
-3-
3. számú melléklet
HUNG-T-051-2010
Termékmegfelelőségi követelmények Követelményeket és szabványokat tartalmazó dokumentumok Követelmények Az elektronikus aláírásról szóló 2001. évi XXXV.törvény CEN CWA 14171: 2004 General guidelines for electronic signature verification Szabványok RFC 3281: An Internet Attribute Certificate Profile for Authorization RFC 4476: Attribute Certificate (AC) Policies Extension ITU-T X.509-2000 Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
-4-
HUNG-T-051-2010
4. számú melléklet A tanúsítási eljárás egyéb jellemzői A tanúsításhoz figyelembe vett fejlesztői dokumentumok InfoSigno AC SDK v1.0.0.6 (+ ACTest v1.0.1.4) Attribútum tanúsítványok érvényességét ellenőrző SDK - Biztonsági előirányzat (v1.0) Az ACTest teszt website telepítői dokumentációja (v1.0) Az ACTest tesztprogram felhasználó dokumentációja (v1.0) Biztonsági szerkezet leírás - Attribútum tanúsítványok érvényességét ellenőrző SDK (InfoSigno AC SDK v1.0.0.6 + ACTest v1.0.1.4) (v1.0) Funkcionális specifikáció - Attribútum tanúsítványok érvényességét ellenőrző SDK (InfoSigno AC SDK v1.0.0.6 + ACTest v1.0.1.4) (v1.0) TOE terv - Attribútum tanúsítványok érvényességét ellenőrző SDK (InfoSigno AC SDK v1.0.0.6 + ACTest v1.0.1.4) (v1.0) Megvalósítási reprezentáció - Attribútum tanúsítványok érvényességét ellenőrző SDK (InfoSigno AC SDK v1.0.0.6 + ACTest v1.0.1.4) (v1.0) Konfiguráció lista - Attribútum tanúsítványok érvényességét ellenőrző SDK (InfoSigno AC SDK v1.0.0.6 + ACTest v1.0.1.4) (v1.0) A konfiguráció kezelés dokumentációja - Attribútum-szolgáltató szoftver (Info&AA) v1.0 (v1.0) A fejlesztés biztonság dokumentációja - Attribútum-szolgáltató szoftver (Info&AA) v1.0 (v1.0) Az életciklust meghatározó dokumentáció - Attribútum-szolgáltató szoftver (Info&AA) v1.0 (v1.0) A fejlesztő eszközök dokumentációja - Attribútum-szolgáltató szoftver (Info&AA) v1.0 (v1.0) Infoscope Fejlesztési konvenciók, C#, C/C++ (v1.01) A szállítási eljárások leírása - Attribútum tanúsítványok érvényességét ellenőrző SDK (InfoSigno AC SDK v1.0.0.6 + ACTest v1.0.1.4) (v1.0) Az ACTest tesztprogram dokumentációja -Attribútum tanúsítványok érvényességét ellenőrző SDK (InfoSigno AC SDK v1.0.0.6 +ACTest v1.0.1.4) (v1.0) Tesztlefedettség elemzés - ATE_COV.2 Attribútum tanúsítványok érvényességét ellenőrző SDK (InfoSigno AC SDK v1.0.0.6 + ACTest v1.0.1.4) (v1.0) Tesztmélység elemzés - ATE_DPT.2 Attribútum tanúsítványok érvényességét ellenőrző SDK (InfoSigno AC SDK v1.0.0.6 + ACTest v1.0.1.4) (v1.0) A tesztelésre alkalmas értékelés tárgya
A tanúsításhoz figyelembe vett, fejlesztőktől független dokumentumok Értékelési jelentés – InfoSigno AC SDK v1.0.0.6 + ACTest v1.0.1.4 megbízható rendszer hitelesítés-szolgáltatáshoz v1.0 (Készítette Hunguard Kft.) A követelményeknek való megfelelést ellenőrző független vizsgálat módszere Az InfoSigno AC SDK v1.0.0.6 termék a MIBÉTS (Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma) módszertana szerint került független értékelésre és tanúsításra. Az értékelés garanciaszintje MIBÉTS szerinti kiemelt értékelési garanciaszint (EAL4)
Az értékeléshez felhasznált módszertani anyagok • • • • • •
Common Criteria for Information Technology Security Evaluation (September 2006 -version 3.1, revision 2) – Part 1: Introduction and general model Common Criteria for Information Technology Security Evaluation (September 2006 -version 3.1, revision 2) – Part 2: Security functional components Common Criteria for Information Technology Security Evaluation (September 2006 -version 3.1, revision 2) – Part 3: Security assurance components Common Methodology for Information Technology Security Evaluation (September 2006 version 3.1, revision 2) MSZ/ISO/IEC 15408:2003 Informatika – Biztonságtechnika - Az informatikai biztonságértékelés közös szempontjai KIB (Közigazgatási Informatikai Bizottság) 28. számú ajánlás „Termékekre vonatkozó értékelési módszertan”
-5-
